不正アクセス検知システムとしてネットワーク型IDSのSnortを導入。

Snortが抽出した不正アクセスログをWebブラウザ上で確認できるようにするためにSnortSnarfも導入。

Snortが不正アクセスの判断をするために参照するルールファイルの最新化は、

Oinkmasterを導入して自動化。

(参考サイト：http://www1.matsue-torisen.co.jp/~naruse/Estab/CentOS/snort.html)

snortのRPM作成に必要なパッケージインストール

yum -y install libpcap libpcap-devel pcre-devel libdnet-devel

libpcapのバージョンを確認

(libpcapが下記のようにバージョン1.0以下の場合、

daqがインストールできないのでアップデート作業を行う必要がある)

rpm -q libpcap

libpcap-0.9.4-15.el5

libpcapをバージョン1.0以上にアップデートする

cd /usr/local/src

wget http://www.tcpdump.org/release/libpcap-1.5.3.tar.gz

tar zxvf libpcap-1.5.3.tar.gz

cd libpcap-1.5.3

./configure

make

make install

yum update libpcap

daq ダウンロード

wget http://www.snort.org/downloads/2776

SRPMファイルのインストール

rpm -ivh rpm -ivh daq-2.0.2-1.src.rpm\?AWSAccessKeyId\=AKIAJ65S5YX6KA26VRJQ\&Expires\=1393062503\&Signature\=xCmpA0q62EN%2Fq2nyCI8rGWJ6UkU\=

rpmファイルの作成

rpmbuild -bb --clean /usr/src/redhat/SPECS/daq.spec

Snort ダウンロード

wget http://www.snort.org/downloads/2785

SRPMファイルのインストール

rpm -ivh snort-2.9.6.0-1.src.rpm\?AWSAccessKeyId\=AKIAJ65S5YX6KA26VRJQ\&Expires\=1393059983\&Signature\=w5JA7RljNsRQSNTjHLFyVhrQATM\=

rpmファイルの作成

rpmbuild -bb --clean /usr/src/redhat/SPECS/snort.spec

rpmファイルのインストール

rpm -ivh /usr/src/redhat/RPMS/i386/snort-2.6.1.3-1.i386.rpm

ダウンロードしたファイルを削除

rm -f snort-2.6.1.3-1.src.rpm

SRPMからRPMへのビルドにより作成されたファイル群を削除

rm -f /usr/src/redhat/RPMS/i386/snort-*

Snortのソースを削除

rm -f /usr/src/redhat/SOURCES/snort-2.6.1.3.tar.gz

SPECファイルの削除

rm -f /usr/src/redhat/SPECS/snort.spec